《域名服务系统风险调查报告》.pdfVIP

精品文章精品文章 《域名服务系统风险调查报告》《域名服务系统风险调查报告》 关于域名服务系统风险的调查报告 国际经济与贸易专业 李庆生 调查目的及意义： 我于xx年3至5月在上海琵西网络信息技术有限公司做毕业实 习。我的实习的主要内容是联系国外的需要注册中国或亚洲境内域名 的公司，申请作为其代理帮助他们注册包括.cn，.hk，.aisa 在内的多 种域名。主要工作就是联系国外公司的负责人，并洽谈相关的代理细 节问题，并完成为其注册的相关步骤。在实习过程中，结合自己的实 习经历及域名服务行业的具体情况，做了一个关于域名服务行业普遍 存在的风险的调查报告，最后在参考域名行业知识的前提下提出了相 关的防范建议。 调查内容： 我国互联网络域名服务系统的相关风险。 调查方式： 在调查的过程中除了采用我国互联网络信息中心的一些统计数 据及方法外，还通过具体的事件案例调查，一般分析与具体事例相结 合，最后总结出我国互联网络信息域名服务系统存在的风险。 调查结果： 域名服务包含了权威域名服务和递归域名服务，服务的正确、安 全和可靠运行对于整个互联网的发展和建设来说至关重要。分析发 精品文章精品文章 现，国内域名服务在配置管理和运行维护方面均存在不同程度的安全 隐患，域名服务系统面临的风险如下： 风险一：信息更改或过期：各级域名解析系统通常与域名注册、 whois等系统协调工作，任一环节的漏洞都可能被黑客利用，篡改域 名解析数据。权威域名解析服务的主服务器或辅服务器如因配置不 当，也容易被攻击，造成权威解析服务故障。 风险二：dns系统应用程序崩溃：域名解析服务系统所用软件极 其重要，如因配置不当或升级延迟，软件存在的漏洞容易被黑客利用。 近年来开源软件 bind 被广泛使用，一旦该软件出现严重安全漏洞， 互联网服务体系将面临灾难性崩溃 。风险三：域名劫持 （domainnamehijacking）：通过各种攻击手段控制了域名管理密码和 域名管理邮箱，然后将该域名的 ns 纪录指向到黑客可以控制的 dns 服务器，然后通过在该dns服务器上添加相应域名纪录，从而使网民 访问该域名时，进入了黑客所指向的内容。值得注意的是：域名被劫 持后，不仅网站内容会被改变，甚至会导致域名所有权也旁落他人。 如果是国内的 cn 域名被劫持，还可以通过和注册服务商或注册管理 机构联系，较快地拿回控制权。如果是国际域名被劫持，而且又是通 过国际注册商注册，那么其复杂的解决流程，再加上非本地化的服务， 会使得夺 回域名变得异常复杂 。风 险 四：中间人攻击 （maninthemiddleattack）：中间人攻击，是攻击者冒充域名服务器的 一种欺骗行为，它主要用于向主机提供错误dns信息。中间人攻击大 多数本质都是被动，其检测和防御十分困难。 精品文章精品文章 风险五：nsec游走：早期的dnssec使用nsec方案，会造成区文 件被遍历、枚举，从而泄露所管理的域名解析数据，既是商业数据的 泄露，也容易成为黑客攻击的靶子。 风险六：分布式拒绝服务攻击（ddosattack）：ddos攻击手段是在 传统的dos攻击基础之上产生的更有效的攻击方式。其攻击手段往往 是攻击者组织大量的傀儡机同时向域名服务器发送大量查询报文，这 些报文看似完全符合规则，但往往需要dns服务器花费大量时间进行 查询，从而使dns瘫痪。xx年5月19 日全国大面积断网事件起因即 为ddos攻击。 风险七：缓存窥探（cachesnooping）：dns 缓存窥探是一个确定 某一个资源记录是否存在于一个特定的dns缓存中的过程。通过这个 过程攻击者可以得到一些信息，例如解析器处理了哪些域名查询。攻 击者通常利用缓存窥探寻找可攻击对象。 风险八：缓存中毒（或dns欺骗）（cachepoisoningordnsspoofing）： 通过向dns服务器注入非法网络域名地址实现缓存中毒攻击，对该类 安全威胁的检测十分困难。利用该漏洞轻则可以让用户无法打开网 页，重则是网络钓鱼和金融诈骗，给受害者造成巨大损失。由于软件 实现技术水平参差不齐，端口、报文 id 随机算法落后的域名服务器